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The pros and cons of moving to e-|IDs 


EDRi member Epicenter.works give their position on electronic identity (e-ID) in light of the continues work 
on e-ID in Austria. They share that as convenient as the e-ID may seem and as much it is being communicated 
as the logical evolution of the classic ID, caution must be exercised when it comes to creating, storing and 
accessing sensitive identity data. Utmost caution is required when the private sector and the state use 
shared infrastructures for this purpose. 





By Epicenter.works - January 27, 2021 





Austria has been working on an electronic identity - e-ID in short — for quite some time now. Recent discussions 


on this type of electronic identification have focused on the electronic driving license, which is to be introduced 
in spring 2021. The draft legislation proposed by the federal government provides for voluntary participation, so 
switching to an e-ID is not obligatory. The e-ID serves as technical basis and infrastructure for electronic 
identification. The proposed legislation will also entail changes in the passport and personal identification 
system, since the e-ID shall be issued together with a new passport or identification card. At this point we don't 
yet know what the e-ID will look like precisely. In the passport system, however, it is supposed to serve as a 
verification of personal data. The endeavor falls within the areas of competence of the Minister of 
digitalisation Schramboéck and the Minister of the interior Nehammer. 


The draft stipulates that data may also be provided to third parties, if the holder of the e-ID expressly consents. 
What this means in detail remains to be seen as well and it depends on the specific design of the e-ID. At first, 
this feature shall be implemented for the public sector only, and not for private actors. Currently, there is a call 
for bids for this platform (wallet), which will make governmental identity data and other attributes such as 
student IDs or driving licenses accessible for the business sector too. 


Logical consequence or pitfall? 


As convenient as the e-ID may seem and as much it’s being communicated as the logical evolution of the 
classic ID, caution must be exercised when it comes to creating, storing and accessing sensitive identity data. 
Utmost caution is required when the private sector and the state use shared infrastructures for this purpose. 
Data security should play a central role here. 


Apart from technical requirements which must be met by such infrastructures, our position includes a political 
and societal perspective. How is this system implemented and how invasively does it treat citizens’ data? 


What we expect and what we demand 


1. We continue to advocate a decentralised, unobservable identity system. Individual processes of 
identification or login must not be registered in a central database. The analogue ID doesn’t generate a 
protocol of where it’s being used, therefore the e-ID must not cause a disadvantage in data protection in this 
regard. This can only be achieved by designing the architecture of such a system properly, for example by 
using cryptographic pseudonyms, which warrant so-called “unlinkability” (e.g. see here & here). 


2. In the case of public-private partnerships, i.e. access by private companies, use cases must be controlled 
strictly. Otherwise, identity theft and other identity-related crime and mischief cannot be avoided. If the only 
barrier to the dissemination of government identity data is the e-ID holder's consent, and if consent must 
only be given once, then discount cards such as JO and all Austrian newspapers will soon be able to use our 
identity data for advertising purposes. 


3. Use cases for governmental identity must be evaluated by the data protection authority regarding data 
reduction and economy in advance. It would make sense to limit the purpose of all these use cases and to 
prohibit the transfer of data to third parties for the same purposes. Otherwise, it’s only a matter of time 
before it ends up with Google and Facebook too. 


4. Wallets must be certified. It must be legally and technically impossible to market wallets, which do not 
meet this premise. This software must be open source and — ideally - be published under a free license, so 
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that everything is traceable and people with free operating systems are not excluded. 


5. There must be an easily accessible record of everything a user has consented to. If doable from a technical 
and legal point of view, there must be an option to revoke consent and to obtain information on data 
processed. If identity data is stored on personal smartphones, all data transfers can be recorded directly on 
the device. 


6. The e-ID must not undermine our right to use IT systems anonymously and pseudonymously. The 
government program clearly rejects an obligation to use real names as well as obligatory identification 
online. The government even stipulated the contrary: “Durchgangige Etablierung des Prinzips der anonymen 
Nutzung von technischen Infrastruktur-Systemen” which literally translates to “consistent establishment of 
the principle of anonymous use of technical infrastructure systems”. 


We have already laid down parts of these demands in our parliamentary position paper in the review procedure 
for the 2017 amendment to the eGovernment Act. At the time, the debate only concerned the first Use case. The 
legal basis for the current pilot projects has already been created. The pressure from the business sector has 
reached a level of intensity we have seldom seen in Austria before: banks hope to use the elD for their legal 
know-your-customer requirements as well as for fraud detection, mobile operators, who already possess 
identity data due to the registration requirement, intend to bring their own (very poor) systems into play, 
Austrian media want to utilise the elD for managing subscriptions and placing personalised ads, and - of course 
- Austrian trust service providers also want a piece of the pie. 


The right-wing conservative party (OVP) continues to express a wish to introduce obligatory identification 
online one day, despite the fact that the Green party (Grune) managed to negotiate this project out of the current 
government program. Lastly, the topic also has a European dimension, as the EU commission's work 
programme also announces a reform of the EIDAS-regulation. 


Without a doubt there are useful applications for electronic identity, and it should be possible to design a 
privacy-friendly system. Apart from issues of technical architecture, legal safeguards must be introduced - 
the current data protection law is insufficient for this purpose. Electronic identity is an important topic for the 
future, and therefore also for us. We'll continue to be involved in the political debate and keep you updated on 
what's to come. 


This article was first published here and is available in German. 
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De voor- en nadelen van overstappen op e-ID's 


EDRi-lid Epicenter.works geeft hun standpunt over elektronische identiteit (e-ID) in het licht van het voortdurende 
werk aan e-ID in Oostenrijk. Ze delen dat hoe handig de e-ID ook lijkt en hoezeer deze ook wordt gecommuniceerd als 
de logische evolutie van de klassieke ID, voorzichtigheid moet worden betracht bij het creéren, opslaan en openen 
van gevoelige identiteitsgegevens. Uiterste voorzichtigheid is geboden wanneer de particuliere sector en de staat 
hiervoor gedeelde infrastructuren gebruiken. 


Door Epicenter.works - 27 januari 2021 


eS 


Oostenrijk werkt al geruime tijd aan een elektronische identiteit — kortweg e-ID. Recente discussies over dit type elektronische identificatie spitsten 





zich toe op het elektronisch rijbewijs, dat in het voorjaar van 2021 moet worden ingevoerd. Het door de federale regering voorgestelde wetsontwerp 
voorziet in vrijwillige deelname, dus 

overstappen op een e-ID is niet verplicht. De e-ID dient als technische basis en infrastructuur voor elektronische 

identificatie. De voorgestelde wetgeving zal ook wijzigingen in het paspoort en persoonsidentificatie met zich meebrengen 

systeem, aangezien de e-ID samen met een nieuw paspoort of nieuwe identiteitskaart wordt uitgegeven. Op dit moment weten we nog niet hoe 

de e-ID er precies uit komt te zien. In het paspoortsysteem zou het echter dienen als verificatie van persoonsgegevens. Het streven valt_onder de 


bevoegdheid van de minister van digitalisering Schrambdéck en de minister van Binnenlandse Zaken Nehammer. 


Het concept bepaalt dat gegevens ook aan derden mogen worden verstrekt, mits de houder van de e-ID daar uitdrukkelijk mee instemt. 

Wat dit in detail betekent, moet ook nog worden afgewacht en hangt af van het specifieke ontwerp van de e-ID. In eerste instantie zal deze 
functie alleen voor de publieke sector worden geimplementeerd en niet voor particuliere actoren. Op dit moment is er een oproep tot biedingen 
voor dit platform (portemonnee), waarmee identiteitsgegevens van de overheid en andere attributen, zoals student-ID's of rijboewijzen, ook 


toegankelijk worden voor het bedrijfsleven. 


Logisch gevolg of valkuil? 


Hoe handig de e-ID ook mag lijken en hoezeer deze ook wordt gecommuniceerd als de logische evolutie van de klassieke ID, toch moet 
voorzichtigheid worden betracht bij het aanmaken, opslaan en openen van gevoelige identiteitsgegevens. 
Uiterste voorzichtigheid is geboden wanneer de particuliere sector en de staat hiervoor gedeelde infrastructuren gebruiken. 


Databeveiliging zou hierbij een centrale rol moeten spelen. 


Naast technische eisen waaraan dergelijke infrastructuren moeten voldoen, hebben wij een politiek en maatschappelijk perspectief. Hoe wordt dit 


systeem geimplementeerd en hoe invasief gaat het om met gegevens van burgers? 


Wat we verwachten en wat we eisen? 


1. We blijven pleiten voor een gedecentraliseerd, niet-waarneembaar identiteitssysteem. Individuele processen van 
identificatie of login mag niet worden geregistreerd in een centrale database. De analoge ID genereert geen a 
protocol van waar het wordt gebruikt, daarom mag de e-ID in dit opzicht geen nadeel in de gegevensbescherming veroorzaken. Dit kan alleen 
worden bereikt door de architectuur van een dergelijk systeem goed te ontwerpen, bijvoorbeeld door cryptografische pseudoniemen te 


gebruiken, die zogenaamde "unlinkability" rechtvaardigen (zie bijvoorbeeld hier & hier). 


2. In het geval van publiek-private partnerschappen, dwz toegang door particuliere bedrijven, moeten use-cases worden gecontroleerd 
strikt. Anders kunnen identiteitsdiefstal en andere identiteitsgerelateerde misdaad en kattenkwaad niet worden vermeden. Als de enige 
belemmering voor de verspreiding van identiteitsgegevens van de overheid de toestemming van de e-ID-houder is, en als toestemming slechts 
één keer hoeft te worden gegeven, dan kunnen kortingskaarten zoals JO en alle Oostenrijkse kranten binnenkort onze 


identiteitsgegevens voor reclamedoeleinden. 


3. Use cases voor overheidsidentiteit moeten worden geévalueerd door de gegevensbeschermingsautoriteit met betrekking tot gegevens 
vermindering en besparing vooraf. Het zou logisch zijn om het doel van al deze use-cases te beperken en de overdracht van gegevens 
aan derden voor dezelfde doeleinden te verbieden. Anders is het slechts een kwestie van tijd voordat het ook bij Google en Facebook 


terechtkomt. 


4. Portemonnees moeten gecertificeerd zijn. Het moet juridisch en technisch onmogelijk zijn om wallets op de markt te brengen, wat niet: 


voldoen aan dit uitgangspunt. Deze software moet open source zijn en — idealiter — worden gepubliceerd onder een vrije licentie, dus 






dat alles traceerbaar is en mensen met gratis besturingssystemen niet worden uitgesloten. 


Machine Translated by Google 


5. Er moet een gemakkelijk toegankelijke registratie zijn van alles waar een gebruiker toestemming voor heeft gegeven. Indien dit technisch en 
juridisch haalbaar is, moet er een mogelijkheid zijn om de toestemming in te trekken en informatie te verkrijgen over de verwerkte gegevens. 


Als identiteitsgegevens zijn opgeslagen op persoonlijke smartphones, kunnen alle gegevensoverdrachten direct worden vastgelegd op 


het apparaat. 


6. De e-ID mag ons recht op anoniem en pseudoniem gebruik van IT-systemen niet ondermijnen. De 
overheidsprogramma verwerpt duidelijk een verplichting om echte namen te gebruiken, evenals verplichte identificatie online. De regering 
beweerde zelfs het tegendeel: “Durchgangige Etablierung des Prinzips der anonymen Nutzung von technischen Infrastruktur-Systemen’”, wat 
letterlijk vertaalt naar “consistente vestiging van 


het principe van anoniem gebruik van technische infrastructuursystemen”. 


Een deel van deze eisen hebben we al vastgelegd in ons Kamerstandpunt in de herzieningsprocedure voor.de_wijziging van de Wet e-overheid 
2017. Destijds ging het debat alleen over de eerste use case. De wettelijke basis voor de huidige proefprojecten is al gecreéerd. De druk van het 
bedrijfsleven heeft een intensiteit bereikt die we zelden eerder in Oostenrijk hebben gezien: banken hopen de elD te gebruiken voor hun wettelijke 
ken-uw-klant-eisen en voor het opsporen van fraude, mobiele operators, die vanwege de registratieplicht al over identiteitsgegevens beschikken, 


van plan zijn om hun eigen (zeer slechte) systemen mee te nemen.in_het.spel.,. 





Oostenrijkse media willen de elD gebruiken voor het beheren van abonnementen en het plaatsen van gepersonaliseerde advertenties, en natuurlijk 


Oostenrijkse trust.service providers wil ook een stukje van de taart. 


De rechts-conservatieve partij (OVP) blijft de wens uitspreken om op een dag online identificatieplicht in te voeren_,.ondanks.het feit dat de 
Groene parti] (Griine) dit project uit het huidige regeringsprogramma heeft weten te onderhandelen. Ten slotte heeft het onderwerp ook een Europese 
dimensie, zoals het werk van de EU-commissie 


programma kondigt ook een hervorming van de EIDAS-verordening.aan._ 


Er zijn ongetwijfeld nuttige toepassingen voor elektronische identiteit en het moet mogelijk zijn om een privacyvriendelijk systeem te ontwerpen. 
Afgezien van kwesties van technische architectuur, moeten er juridische waarborgen worden ingevoerd — de huidige wetgeving inzake 
gegevensbescherming is hiervoor onvoldoende. Elektronische identiteit is een belangrijk onderwerp voor de toekomst, en dus ook voor ons. We 


blijven betrokken bij het politieke debat en houden u op de hoogte van wat komen gaat. 


Dit artikel is hier voor het eerst gepubliceerd_en is beschikbaar in het Duits____ 
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